 |
| Practical Malware Analysis |
CHAPTER 3 - BASIC DYNAMIC ANALYSIS
Write up Lab 3-3
 |
| Lab03-03.exe |
Execute the malware found in the file Lab03-03.exe while monitoring it using basic dynamic analysis tools in a safe environment.Thực thi mã độc được tìm thấy trong tệp Lab03-03.exe trong khi giám sát nó bằng các công cụ phân tích động cơ bản trong một môi trường an toàn.
Questions
1. What do you notice when monitoring this malware with Process Explorer?
2. Can you identify any live memory modifications?
3. What are the malware’s host-based indicators?
4. What is the purpose of this program?
Answers
Các công cụ sử dụng trong bài này:VirustotalProcess ExplorerProcess Monitor
Thông tin cơ bản mẫu:
 |
| Virustotal report |
1. What do you notice when monitoring this malware with Process Explorer?
(Bạn nhận thấy điều gì khi theo dõi mã độc này bằng công cụ Process Explorer?)
ProcessExplorer khi chưa chạy Lab03-03.exe.
 |
| ProcessExplorer |
Nhấn đúp vào Lab03-03.exe để tiến hành chạy, nhận thấy có hai tiến trình mới (màu xanh lục) xuất hiện là Lab03-03.exe và svchost.exe.
 |
| Run Lab03-03.exe |
Sau 1-2 giây, tiến trình Lab03-03.exe kết thúc, chỉ còn svchost.exe chạy như một orphan process - tiến trình độc lập, như minh họa bên dưới và đồng thời một tệp practicalmalwareanalysis.log được tạo cùng thư mục lưu trữ của lab. Đây là hành vi rất bất thường và đáng ngờ.
 |
| svchost.exe with no parent |
2. Can you identify any live memory modifications?
(Bạn có thể tìm thấy bất kỳ hành vi sửa đổi nào không?)
Ta có thể xem bộ nhớ trực tiếp của svchost, để xác định sự khác nhau giữa strings trên đĩa và strings trong bộ nhớ.
Trong ProcessExplorer thực hiện thao tác: Right click orphan process svchost.exe → Properties...
 |
| svchost.exe Properties |
Hộp thoại svchost.exe 128 Properties xuất hiện (lưu ý giá trị PID 128 sẽ khác nhau ở những lần chạy khác nhau và trên các máy tính khác nhau).
Quan sát sự khác nhau của strings ở trong Tab Strings.
 |
| Image Lab03-03.exe |
 |
| Memory Lab03-03.exe |
Như ảnh trên ta thấy rõ ràng các strings của bộ nhớ và đĩa không khớp với nhau, ở bộ nhớ xuất hiện thêm các các strings như: practicalmalwareanalysis.log, [SHIFT], [ENTER], [CAPS LOCK]... còn ở bộ nhớ thì không có.
Thông tin này giúp ta phán đoán rằng chương trình này là một keylogger.
3. What are the malware’s host-based indicators?
( Dấu hiệu lây nhiễm mã độc này trên máy chủ?)
Như đã thấy cả trên đĩa và trên bộ nhớ mã độc đều tạo ra một tệp có tên practicalmalwareanalysis.log
 |
| on disk |
 |
| on Memory |
4. What is the purpose of this program?
Như ở trên tớ đã phán đoán chương trình này là một keylogger, để xác thực điều này thực hiện các thao tác sau:
1. Bật chương trình soạn thảo Wordpad (hoặc Notepad) sau đó mở tệp practicalmalwareanalysis.log để xem nó có ghi lại các ký tự đã nhập không.
 |
| Test keylogger |
2. Bật Procmon để hiển thị các sự kiện.
Ctrl+E (Hoặc biểu tượng kính lúp) để Capture.
Ctrl+L (Hoặc menu Filter → Filter ...) để mở hộp thoại Filter.
 |
| Procmon Filter |
Kết quả: Các sự kiện CreateFile và WriteFile của tiến trình svchost.exe đang ghi vào tệp có tên practicalmalwareanalysis.log.
 |
| Procmon Details |
TỔNG KẾT
1. What do you notice when monitoring this malware with Process Explorer?
(Bạn nhận thấy điều gì khi theo dõi mã độc này bằng công cụ Process Explorer?)
Phần mềm độc hại thực hiện thay thế quy trình trên svchost.exe.
2. Can you identify any live memory modifications?
(Bạn có thể tìm thấy bất kỳ hành vi sửa đổi nào không?)
So sánh ảnh đĩa của svchost.exe với ảnh bộ nhớ của nó cho thấy chúng không giống nhau. Hình ảnh bộ nhớ có các chuỗi như practicalmalwareanalysis.log, [ ENTER ], ... nhưng hình ảnh đĩa không có.
3. What are the malware’s host-based indicators?
(Dấu hiệu lây nhiễm mã độc này trên máy chủ?)
Phần mềm độc hại tạo tệp nhật ký practicalmalwareanalysis.log.
4. What is the purpose of this program?
(Mục đích của chương trình này là gì?)Chương trình thực hiện thay thế tiến trình trên svchost.exe để khởi chạy keylogger.
KẾT THÚC LAB03-03.EXE HẸN GẶP LẠI TRONG CÁC BÀI LAB TIẾP THEO !